1

我创建了一个 64 位驱动程序,该驱动程序从 InMemoryOrderModuleList 中遍历模块,该模块是从进程中的 PEB 结构中找到的。但是,此列表中的模块始终是 64 位模块,我需要一个列出 32 位进程的 32 位模块的函数。

32 位进程的 32 位模块可能存储在其进程中的什么位置?

另外,我正在使用 ZwQueryInformationProcess 来获取 PBI 和 PEB 结构。

4

0 回答 0